當CrypMIC勒索活動爆發在2016年7月下旬時,它立刻引起了安全專家的註意。這種軟件也被稱為CryptMIC勒索軟件,這種計算機勒索軟件與以前的文件加密CryptXXX木馬具有高度的相似性。其分布技術、贖金的內容和設計、以及贖金的大小都具有驚人的相似之處。這兩個令人頭疼的軟件都是通過Neutrino開發工具包傳播到個人電腦上的。受害者需要支付1.2比特幣來恢復他們的個人數據,在兩種情況下,如果用戶未能在攻擊開始100小時之後支付相關費用,該費用將增長壹倍。與此同時,這些樣本之間不共享屬性,包括應用的加密算法,恢復說明的名字以及CrypMIC處理項目文件名的方法。
更具體地說,CryptMIC利用對稱AES-256算法鎖定數據,雖然它迷惑地在警告消息中提示密碼是非對稱的RSA-4096。兩者的區別是非常大的,如果部署得當,AES和RSA幾乎是無法破解的。文件壹旦被勒索軟件鎖定,如果沒有攻擊者的主密鑰,文件就不能完全恢復。關於包含恢復指示的文檔,這些文檔被命名為Readme.html,Readme.txt和Readme.bmp。相應的圖標會添加到受感染的電腦中的桌面和所有損壞文件的文件夾中。主要的信息是:“妳所有的文件都被RSA4096加密保護,”這在壹定程度上是實際密碼系統的虛張聲勢。
與CryptXXX不同,CrypMIC勒索軟件不會改變加密條目的名稱。這意味著它沒有給文件附加特定的擴展名,也沒有改變文件名。這種方法使受害者很難發現究竟是什麽影響了硬盤驅動器和網絡共享-唯壹能夠發現的是打開壹個特定的項目時,項目將返回壹個錯誤。為了讓數據返回到可訪問的狀態,被感染的用戶需要安裝Tor瀏覽器並且訪問readme.html(txt、bmp文件)中兩個.onion頁面中的壹個網頁。該網站名為“解密服務”,然後要求受害者輸入他們的個人識別碼,贖金說明也提供了此類信息。這是壹個由4塊8進制字符組成的字符串,並且使用冒號分隔。
因此登錄到服務後,受害者會看到他們還剩下多少時間,之後贖金就會從1.2比特幣上漲到2.4比特幣,其中還包括他們的操作系統和IP地址信息,以及用來接受比特幣的比特幣錢包信息。有趣的是,CrypMIC聲稱增銷被稱為“微軟解密”的產品,即所謂的修復工具。目前被加密的文件還沒有免費的解密方案,但是壹些技術可以用來恢復壹些信息。
CrypMIC/CryptMIC勒索軟體自動刪除和數據恢復
由於備有最新的惡意軟件簽名和智能行為檢測數據庫,推薦的軟件可以快速定位感染區,根除和修復所有被侵襲的文件。所以請執行以下的指定:
-
下載並安裝反惡意軟件工具。打開解決方案,並通過單擊啟動電腦掃描按鈕檢查您的電腦是否藏有PUP和其他類型的惡意軟件
- 請放心,掃描報告將列出可能會損害操作系統的所有項目。選擇檢測到的條目,然後單擊修復威脅以完成故障排除。
恢復加密的CrypMIC/CryptMIC檔案的方法
解決方法1:使用文件恢復軟件
很重要的是CrypMIC/CryptMIC勒索軟件創建你的文件的副本並將它們加密。有應用程序存在可以恢復刪除的數據。您可以利用類似的數據恢復工具Pro做到這一點。正在審議的勒索軟件的最新版本往往採用幾個覆寫安全刪除,
但在任何情況下,這種方法值得一試。
下载Stellar Data Recovery Professional
解決方法2:利用備份
首先,這是一個恢復文件的好方法。這是只適用在你已經在電腦有備份的情況下。如果是這樣, 你的遠見救了你。
解決方法3:使用卷影副本卷
如果你不知道,只要在電腦上面的系統還原被激活, 操作系統 為每一個文件創建所謂影卷。由於還原點在指定的時間間隔創建,
文件的快照在它們出現那個時刻也會產生。我奉勸這種方法並不能保證恢復你的文件的最新版本。不過這當然是值得一試。該工作流程在兩個方面是可行的:手動和自動的解決方案。讓我們先來看看手動過程。
-
使用之前版本功能勒索文件的屬性對話框有一個名為之前版本的標籤。這里便是已備份文件展示和恢復的地方。右擊一個文件,進入屬性,點擊上述標籤,然後選擇複製或恢復選項,這取決於您想要恢復到位置。
-
應用ShadowExplorer以上過程可以通過一款名為
ShadowExplorer的工具自動完成。它所達至的效果相同(取回追蹤拷貝文件),但是方式更加地便捷。下載
並且安裝該應用程序,運行它,然後找到您想要恢復到之前版本的文件和文件夾。想要完成恢復,右擊任意條目,然後選擇導出功能。
驗證CrypMIC/CryptMIC勒索軟件是否完全被刪除
除此之外,單單只是CrypMIC/CryptMIC勒索病毒不會解密您的個人文件。不知道以上數據的恢復方法能否對你有幫助, 但勒索軟件本身並不在個人電腦內。巧合的是它往往連同其他惡意軟件一起,
這就是為什麼反複使用自動安全軟件的掃描系統是有道理的。這可以確保沒有這種病毒的遺留物和相關的威脅留在Windows Registry和其他地點。